Tcpdump

De Wiki Hackstore

Tcpdump é usado quando existe necessidade de analisar pacotes que trafegam na rede.

O tcpdump pode ser usado com um filtro de pacotes utilizando os parâmetros: computador de origem (src host), computador de destino (dst host) além de portas (port) e interfaces, isso permite que somente os pacotes requeridos sejam analisados pelo administrador.

Rede.jpg
tcpdump -i any -s 2048 -xX -w tcp.smtp"(src host 10.0.0.1) or (src host port 25 and dst host 10.0.0.2)"

Um filtro pode ser feito usando os parâmetros computador de origem (pacotes enviados), computador de destino (pacotes recebidos) e a porta de destino (podendo ser 80 para web, 25 para smtp, 110 pop3), interface etho,eth1 ou usar a opção any que avalia todas as interfaces.

Também é possível usar a opção host ao invés de src ou dst pois ele fará o papel dos dois, avaliando os pacotes que trafegam por esse ip. Exemplo: Monitora o host 10.0.0.1 e o que trafega pela porta 25

tcpdump -i any -s 2048 -xX -w tcp.smtp "(host 10.0.0.1) and (port 25)"

ler o conteúdo do arquivo sem barra hexadecimal:

tcpdump -s 2048 -xX -r tcp.smtp -A   

No arquivo onde os pacotes foram salvos é possível fazer uma novo filtro usando o tcpdump. Após ler o arquivo que foi filtrado pelo tcpdump, analisamos qual conexão é importante e rodamos um novo tcpdump usando este novo parâmetro e salvando em um novo arquivo.

tcpdump -s 2048 -xX -r tcp.smtp port 40837 > teste.txt 


Verificar todos os pacotes de um determinado computador na rede:

tcpdump -i any -s 2048 -A "(host 10.0.0.1)"


Verificar todos os pacotes de um determinado computador, ignorando alguma porta (ex: ssh):

 tcpdump -i any -s 2048 -A "(host 10.0.0.1) and not port 22"

OPÇÕES

-A

Exibe os pacotes sem barras hexadecimais.

-i any

 Usado para capturar pacotes de todas as interfaces. Pode ser usado para capturar pacotes de todas as interfaces. 

-w <nome do arquivo>

Salva os pacotes em um arquivo.

-r <nome do arquivo>

Lê os pacotes do arquivo (criado com a opção -w).

-s

Tamanho do pacote que vai ser avaliado.

-Xx

Exibe o arquivo em hexadecimal.